LINUX.ORG.RU

Критическая уязвимость в Ubuntu


0

0

В дистрибутиве Ubuntu Breezy Badger 5.10 найден критический баг, позволяющий узнать логины и пароли, созданные во время инсталяции. Пароли хранятся открытым текстом в директории /var/log. Рекомендуется почистить логи.

>>> Подробности

★★

Проверено: svyatogor ()

вот лопухнулись ... :)

anonymous
()

А зачем хранить логи инсталлятора...

const86 ★★★★★
()

Open source passwords make it more secure. (c) slashdot

JB ★★★★★
()

>grep -r rootpassword /var

Ну превед. А еще кто-то имеет наглость, делать тупейшие заявления, по поводу безопасности фри.

Sun-ch
()

Писееееец!!!! Вот это пыонеры! Открытым текстом пароли в логи писать! :)))

anonymous
()
Ответ на: комментарий от Sun-ch

>Ну превед. А еще кто-то имеет наглость, делать тупейшие заявления, по поводу безопасности фри.

Совершенно с тобой согласен, фря - ненужна. Другой вопрос топек не о фре =)

anonymous
()

Бугагага! ;) Дистриб года!

anonymous
()
Ответ на: комментарий от anonymous

>Писееееец!!!! Вот это пыонеры! Открытым текстом пароли в логи писать! :)))

действительно, вопрос - анахуа?

anonymous
()

Vista с потенциальными backdoor-ами курит в сторонке ..

anonymous
()

Теперь точно все понятно: Made in Africa.

anonymous
()

Сейчас проверил. И правда - вот он, в /var/log/installer/cdebconf, родимый. А чё на полпути остановились и багрепортом разработчику не заслали мой пароль, а? :)

yozhhh ★★★
()

А сторонниики убунтов ещё и поют песни про глючность редхатов и мандряк. Лучший дистрибутив года? Made in Africa! Бесплатный диск в мышеловке! Нет уж, спасибо, как-нибудь на редхатах/мандряках/сусях пересидим.

mr ★★
()

Вот что интересно. Этим 5.10 уже столько времени пользовались и НИКТО (!!!) до сих пор этого не заметил! Возникает вопрос - а кто его пользовал-то вообще? Одни пыонеры? Я-то лично поставил его на посмотреть на одном компьютере, но включался он там раза три - нет времени им заниматься, руки не доходят. А кто его каждый день пользует?

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

> А чё на полпути остановились и багрепортом разработчику не заслали мой пароль, а? :)

Почему ты уверен что не заслали?

Lumi ★★★★★
()
Ответ на: комментарий от yozhhh

Не надо вот только произносить столь пылких речей. Пионеры не чистили, но и не смотрели. Партийные почистили сразу не посмотрев. Хорошо, что кто-то догадался глянуть.

PS: Убунтой не пользуюсь :)

Lumi ★★★★★
()
Ответ на: комментарий от geek

> а какие права доступа к этому файлу?

installer: drwxr-xr-x

cdebconf: drwxr-xr-x

questions.dat, -rw-r--r-- :)

Т.е. просто ВООБЩЕ никаких проблем, хоть из mc по F3.

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

>Т.е. просто ВООБЩЕ никаких проблем, хоть из mc по F3

мда. no comments. хотя я и не вижу в этом никаких проблем учитывая наличие и настройку sudo в убунте. Так, мелкое недоразумение

geek ★★★
()

Ахренеть, лучший дистр года...

sabonez ★☆☆☆
()

однако

W ★★★★★
()

Ох уж эта Убунта. То-то я смотрю мне её рожа сразу не понравилась :)

qqqq ★★
()
Ответ на: комментарий от samy_volosaty

Наубунтнулись, обубунтились, проубунтили, убунтазы...

UserUnknown ★★★★★
()

Сильно... Главное, что в убунте-сервер енто тоже есть. А вообще, стране хотелось бы знать своего героя! Это же просто смертельно... Полные реквизиты юзера судо с ALL:ALL в текстовом файле. Убунту+Кубунту - по Дистроватч - доминирующий дистр. Пойду рыдать

Hokum ☆☆☆☆
()
Ответ на: комментарий от Hokum

>олные реквизиты юзера судо с ALL:ALL в текстовом файле. Убунту+Кубунту - по Дистроватч - доминирующий дистр.

вендец пришёл как всегда, неожиданно

geek ★★★
()
Ответ на: комментарий от geek

Какое же это мелкое недоразумение, если там лежал логин/пароль и первого создаваемого юзера? Т.е. любой (sic!) локальный пользователь может зайти под первым пользователем и поиметь систему по своему усмотрению. Вообще забавная ситуация. Дистр хоть и удобный, но такие ляпы крайне настораживают, мягко говоря.

GeoF
()
Ответ на: комментарий от Lumi

> Тогда: sudo ln -s /var/log/installer /var/www/$(hostname -f)/htdocs :)

Я всё-таки надеюсь, что никто в своём уме апач-сервер на убунте не держит :)

yozhhh ★★★
()

Я рыдайу! Ни у кого случайно не завалялось гостевого аккаунта на убунутом сервере? =)

Левая пятка не ошиблась, когда подсказывала мне, что убунта ненужна, и что debian sid будет лучше и спокойнее=)

MYMUR ★★★★
()

Ждите в скором времени новых захватывающих статей на linuxsuxxx :(

yozhhh ★★★
()
Ответ на: комментарий от GeoF

>Какое же это мелкое недоразумение, если там лежал логин/пароль и первого создаваемого юзера?

тогда да. крупное недоразумение.

geek ★★★
()

в комментах не увидел следующую мысль: в любой нормальной (всмысле обеспокоеной своей безопасностью) организации пароль любого юзверя надо менять и не раз в год (и не на тот же самый =) ), это как азбука. Так что сей баг критичен скорее для домашнего десктопа (где регулярная смена пароля необязательна), а на десктопе можно вполне и на рута пароль "123" поставить.

ale ★★
() автор топика

И тут же набежали Ubuntu'фобы и давай соревноваться в том какие они умные. Детство, в буквальном смысле...

kda ★★★★★
()
Ответ на: комментарий от yozhhh

>Сейчас проверил. И правда - вот он, в /var/log/installer/cdebconf, родимый. А чё на полпути остановились и багрепортом разработчику не заслали мой пароль, а? :)

Что-то я не вижу там никаких паролей...
И вообще, права там
-rw------- 1 root root 64599 2006-03-13 12:41 questions.dat
-rw------- 1 root root 4164369 2006-03-13 12:41 templates.dat

seiken ★★★★★
()

Вот что значит популярность ) Самые надежные дистрибутивы - самые неизвестные! :)

rusxakep
()
Ответ на: комментарий от seiken

>И вообще, права там
>-rw------- 1 root root 64599 2006-03-13 12:41 questions.dat
>-rw------- 1 root root 4164369 2006-03-13 12:41 templates.dat

Неправда

ls -l /var/log/installer/cdebconf
-rw-r--r-- 1 root root 64871 2006-02-20 02:36 questions.dat
-rw-r--r-- 1 root root 4215276 2006-02-20 02:36 templates.dat

olegk ★★
()
Ответ на: комментарий от ansi

>А ссылка на патч где????? #rm -fr /var/log/installer/cdebconf

не прокатит?

olegk ★★
()

Баг уже пофиксили, новые пакеты сегодня с утра скачались с помощью встроенной обновлялки.

Vadimir
()

Все очень были заняты раскрашиванием десктопов и соревнованием у кого шрифт круче и дырочку не заметили. А знаете, что это напоминает??? Начинающих пользователей Windows.

mezantrop
()
Ответ на: комментарий от Vadimir

> Баг уже пофиксили, новые пакеты сегодня с утра скачались с помощью встроенной обновлялки.

Эти пакеты удалили логи инсталлера? :)

yozhhh ★★★
()
Ответ на: комментарий от yozhhh

>> Баг уже пофиксили, новые пакеты сегодня с утра скачались с помощью встроенной обновлялки.

>Эти пакеты удалили логи инсталлера? :)

Почему бы и нет? если это пост-скрипт в каком-нибудь пакете basesystem?

Led ★★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.